2017年8月7日8:07
キヤノンITソリューションズ(キヤノンITS)は、2017年7月26日、「カード決済データセキュリティ最前線」セミナー(共催:タレスジャパン、ペイメントナビ編集部)を都内で開催した。当日は、三井住友銀行グループの決済処理事業者であるSMBCファイナンスサービス(SMBC-FS)に「Vormetric Tokenization with Dynamic Data Masking」(VTS)を活用した「PCI DSS対応カード事業者向けトークナイゼーション」を導入した経緯について紹介された。VTSは、正規のクレジットカード番号を意味のない数列に変換するトークナイゼーション機能
2018年3月の実行期限までの対応を目指し、VTSの導入を決意
Vormetric Data Security Platform は、データの暗号化を、組織全体にわたって管理するプラットフォームだ。また、ファイルサーバ内にデータ保管時の暗号化、データベース保管時の暗号化/トークナイゼーション(トークン化)、他社製品(Oracle など)の鍵の統合管理を実現する。VTSは、Vormetric Data Security Platformのトークナイゼーション製品であり、VTSは Thales e-Security社によって提供されている。また、キヤノンITSは同製品の販売代理店となる。
「Vormetricのトークナイゼーションシステムは、シンプルな商品構成となっており、短期間での導入が可能です。それ以外にもファイルサーバの暗号化、アプリケーション暗号、そして他社の暗号化製品の鍵管理も提供していますので、同一メーカーで暗号化基盤を構築することができるようになっています」(キヤノンITソリューションズ 基盤・セキュリティソリューション事業本部 基盤セキュリティ企画センター 基盤セキュリティ技術開発部 太田高明氏)
これまで、VTS製品は海外の導入事例を紹介するケースが多かったが、決済処理事業者のSMBC-FSで初めて国内の導入事例を紹介することとなった。
SMBC-FSは、 三井住友銀行グループの総合金融会社であり、口座振替による集金代行やコンビニ料金収納などを展開する企業だ。経営課題として、 2016 年 2 月にクレジット取引セキュリティ対策協議会から「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」が打ち出されたことにより、同社の決済代行サービス「決済ステーション」の顧客であるEC加盟店では、2018年3月までにカード情報のセキュリティ基準である「PCI DSS」に準拠するか、もしくはクレジットカード番号の非保持化が求められることとなった。
SMBC-FSでは、この課題の解決に向け、以下の3つの対応を考えたという。
①コストや運用負荷を抑えて、EC加盟店がカード番号を非保持化できる安全性の高いサービスを短期間で用意しなければならない
②カード情報を非保持化するためにトークナイゼーションを導入しなければならない
③PCI DSSの審査範囲の縮小も課題として取り組むため、カード番号の保有件数、変換性能に関わらずボルトレスの導入が必要だった
データベースに情報を持たないボルトレス技術が採用の決め手に
キヤノンITSでも決済事業者にトークナイゼーションシステムの営業を行う中で、①早めに対応して既存会員を安心させたい・新規会員を獲得したい、②もう少し待ってから取り組みたい――という2つの声が多い。
SMBC-FSでは、EC加盟店には少ない初期導入費に加え、運用開始後の負担も軽く、安全性に優れた仕組みを提供したいと考えた。実際の導入要件としては、①データベースに情報を持たないボルトレス技術を装備している、②将来を見据えスケールアップできること、③現状のネットワークを変えることなく導入でき、運用管理も大きく変更しない――ことが重要だった。
SMBC-FSのトークナイゼーションシステムの仕組みとして、加盟店で決済されたデータは、同社の決済処理システム「決済ステーション」に入り、すぐさまトークナイゼーションシステムでPAN(カード番号)をトークン番号に変換。そのデータを決済ステーションに返し、そこから加盟店にトークン番号で戻すという。これによりEC加盟店では、カード情報の非保持化を実現。「決済ステーション」のリクエストにより、トークナイゼーションシステムでカード番号をトークナイズ・デトークナイズすることが可能だ。
結果として、VTSの導入により、SMBCファイナンスサービスでは、以下の5つを実現した。
①コストや運用負荷を抑えて、顧客であるEC加盟店がカード番号を非保持化できる安全性の高いサービスを短期間で導入できた
②ボルトレスのトークナイゼーションシステムを導入したため、暗号化・復号が不要で高いパフォーマンスを発揮できた
③PCI DSSの審査時に、対象範囲を縮小できた
④運用管理も従来通り行えばよいというメリットがあった
⑤ライセンス体系が分かりやすく、結果、コストも抑えられ要望にマッチした
「一番大きかったのがボルトレステクノロジーを採用していることです。2016年10月をめどにThalesがボルトレスの商品を出すという話をいただいたので、導入に至りました。弊社は決済代行会社なので、クレジットカードを預かるときにトークン化すればいいというわけではなく、その後に売り上げのデータをカード会社に送る、何カ月かした後に取引の照会にも備えなければいけません。そのため、ボルトレスではないトークンを採用してしまうと、どんどんデータベースのサイズが膨れ上がってしまいます。6カ月、1年というスパンでも変換速度が落ちないことを考えると、ボルトレスが採用のキーになりました」(SMBCファイナンスサービス 商品開発部次長 中野匡洋氏)
アプリケーションへの実装を含め、2カ月での対応を実現
SMBCファイナンスサービスでは、VTS導入後、アプリケーションに組み込むための開発に要する時間が必要だったため、導入にはかなりタイトなスケジュールが求められた。しかし、今回は約2週間という短期間でのVTS導入を実現。アプリケーションへの実装を含めても、「実質2カ月で採用できました」と中野氏は成果を口にする。SMBC-FSでは今後、決済に付随する個人情報もトークン化できればと考えているそうだ。
また決済ソリューション営業部 次長 氏家学氏は、「主にEC加盟店に決済サービスのセールスを行っていますが、トークンの仕組みは非常に反応がいい状況です」と成果を口にする。
キヤノンITソリューションズ 基盤・セキュリティソリューション事業本部 基盤セキュリティ企画センター 村上一幸氏は、「ボルトレスやPCI DSSの評価の範囲などで迷われているお客様はいらっしゃいますが、実際に導入したSMBCファイナンスサービス様の事例をご紹介することにより、安心してトークナイゼーションシステムを導入できるお手伝いをさせていただければと考えています」と語った。
